Является ли фотография человека биометрическими данными?

Обычная фотография сама по себе обычно не считается биометрическими данными. Однако если изображение используется для идентификации личности через технологии распознавания лиц — это уже биометрические персональные данные.

Нужно ли согласие на биометрию в системе контроля доступа на предприятии?

Да. Для использования биометрии в СКУД необходимо получить отдельное добровольное согласие сотрудника. Работодатель также должен предоставить альтернативный способ прохода — например, карту доступа или PIN-код.

Можно ли хранить биометрию в собственной базе компании?

Да, но только при соблюдении требований ФЗ-152, наличии законных оснований и обеспечении усиленных мер защиты персональных данных.

Что будет за обработку биометрии без согласия?

Роскомнадзор может выдать предписание, назначить проверку и привлечь оператора к административной ответственности со штрафами.

Биометрические данные: что это, как собирать и хранить по ФЗ-152

Q: Может ли компания обязать сотрудников сдавать отпечатки пальцев?

Нет, если такая обязанность прямо не предусмотрена федеральным законом. В обычных коммерческих организациях биометрия применяется только добровольно.

Главное за 30 секунд

Биометрия — физиологические и биологические характеристики, позволяющие идентифицировать человека
Для обработки биометрических данных обычно требуется отдельное письменное согласие субъекта
Системы распознавания лиц и отпечатков требуют повышенных мер защиты и контроля
Сотрудник вправе отказаться от биометрической идентификации, если иное не установлено законом
Нарушение требований к биометрии может повлечь серьёзные штрафы и претензии РКН

Определение биометрических данных

Статья 10.1 ФЗ-152 определяет биометрические персональные данные как:

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Ключевые признаки:

Основаны на физиологии или биологии человека
Позволяют идентифицировать конкретного человека
Являются уникальными или близкими к уникальным

Самая чувствительная категория ПД

Биометрические данные относятся к наиболее чувствительной категории персональных данных. Их утечка несёт повышенные риски, поскольку биометрию невозможно «заменить» как пароль или номер телефона.

Виды биометрических данных

Вид биометрии	Описание	Применение	Риск
Отпечатки пальцев	Узоры на пальцах	Touch ID, контроль доступа	Высокий
Распознавание лица	Геометрия лица	Face ID, видеонаблюдение	Критический
Сетчатка глаза	Рисунок сосудов	Банковские и гос-системы	Критический
Радужная оболочка	Узор радужки	Биометрическая идентификация	Критический
Голос	Голосовые параметры	Voice ID	Средний / Высокий
ДНК	Генетические данные	Медицинские и криминалистические цели	Критический
Подпись	Особенности подписи	Финансовые документы	Низкий / Средний

Риск

Системы распознавания лиц считаются одной из самых рискованных форм обработки биометрии. Использование Face ID без отдельного согласия субъекта может рассматриваться как нарушение ФЗ-152.

Требования к обработке биометрических данных

Согласие субъекта

Для обработки биометрии обычно требуется:

отдельное согласие;
письменная или подтверждаемая электронная форма;
конкретное описание целей обработки;
информация о сроках хранения и уничтожения данных.

Недостаточно:

общего согласия «на обработку ПД»;
заранее проставленных галочек;
устного согласия без фиксации.

Единая биометрическая система (ЕБС)

ЕБС — государственная инфраструктура для работы с биометрическими данными.

При использовании ЕБС обычно требуется:

согласие на передачу данных;
согласие на идентификацию;
информирование субъекта о способе использования биометрии.

Собственные биометрические системы требуют отдельного контроля

Если компания использует собственную систему распознавания лиц или отпечатков, необходимо отдельно урегулировать вопросы хранения, доступа, удаления и защиты биометрических данных.

Обязанности оператора при работе с биометрией

1. Уведомление Роскомнадзора

При обработке биометрических данных оператор обязан корректно отразить это в уведомлении РКН:

виды используемой биометрии;
цели обработки;
сроки хранения;
меры защиты.

2. Усиленные меры безопасности

Для биометрии рекомендуется:

шифрование данных;
ограничение доступа;
двухфакторная аутентификация;
журналирование действий;
контроль попыток несанкционированного доступа.

3. Внутренние документы

Компания должна иметь:

приказы и регламенты;
формы согласий;
инструкции сотрудников;
журнал доступа к биометрическим данным.

Системы биометрической идентификации

Биометрия на рабочих местах

Системы контроля доступа (СКУД)

Если для прохода используется лицо или отпечаток пальца:

Требуется:

письменное согласие сотрудника;
альтернативный способ доступа;
информирование о сроках хранения биометрии.

Недопустимо:

ограничивать доступ в офис при отказе от биометрии;
собирать биометрию без уведомления.

Видеонаблюдение с распознаванием лиц

Когда камеры не просто записывают видео, а автоматически распознают человека:

Необходимо:

отдельное информирование;
согласие на распознавание;
обозначение зон видеонаблюдения.

Риск

Использование систем распознавания лиц в торговых центрах, офисах и иных общественных местах без надлежащего правового основания вызывает повышенное внимание Роскомнадзора.

Штрафы за нарушение требований к биометрии

Нарушение	Физлицо	Юрлицо
Сбор без согласия	10 000 – 20 000 ₽	50 000 – 100 000 ₽
Передача без согласия	15 000 – 30 000 ₽	100 000 – 200 000 ₽
Нарушение правил хранения	10 000 – 15 000 ₽	50 000 – 100 000 ₽

Чек-лист при использовании биометрических данных

Получены письменные согласия субъектовобязательно
Биометрия отражена в уведомлении РКН
Есть альтернативный способ доступа
Биометрические данные защищены и зашифрованыобязательно
Ведётся журнал доступа к биометрии
Сотрудники проинструктированы
Определены сроки хранения и удаления данных

Вопросы о биометрических данных

Является ли фотография биометрией?

Сама по себе фотография обычно не относится к биометрии. Но если она используется для идентификации личности через алгоритмы распознавания лиц — это биометрические персональные данные.

Нужно ли согласие на биометрию в системе доступа?

Да. Для использования биометрии в системе контроля доступа требуется отдельное согласие сотрудника и возможность альтернативного прохода.

Может ли компания обязать сотрудников сдавать отпечатки пальцев?

Нет. За исключением случаев, прямо предусмотренных законом, использование биометрии должно быть добровольным.

Можно ли использовать Face ID для учёта рабочего времени?

Да, но только при наличии добровольного согласия сотрудников и соблюдении всех требований к защите биометрических данных.

Проверьте соответствие использования биометрии требованиям ФЗ-152

Проверим сайт и документы — за 2 рабочих дня

Проверить биометрию

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.